partnermenu

zoeken binnen de website

Partnerpagina PBLQ

logo pblq

Sloop de digitale kooi met de AVG

artikelen | 2 mei 2018

De digitalisering van de overheid heeft grote voordelen, maar er zijn ook ongewenste neveneffecten die maar niet verdwijnen. Dat is kort samengevat de boodschap van het recent verschenen boek ‘De digitale kooi’ van Arjan Widlak en Rik Peeters. De auteurs formuleren tien beginselen van behoorlijke ICT om de problemen op te lossen. Die komen sterk overeen met beginselen en voorschriften uit de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 van kracht wordt. Wat kan de AVG betekenen om die hardnekkige problemen aan te pakken?

AVG - PBLQ

Twee voorbeelden van voor burgers ingrijpende gebeurtenissen, die niemand wil en toch blijven gebeuren. Een gestolen auto werd door de politie weer op naam van de oorspronkelijke eigenaresse gezet, zonder dat zij dat wist. De vrouw werd daardoor negentien jaar lang ten onrechte als bezitster van de auto aangesproken en beboet. Een andere vrouw was te weinig thuis om aan het ingezetenencriterium van de basisregistratie personen te voldoen, werd uitgeschreven uit de BRP en kreeg daardoor geen paspoort meer. Ook ontving ze bericht dat haar bedrijf niet meer bestond en kwam ze plotseling zonder zorgverzekering te zitten.

Een belangrijke oorzaak van dit soort problemen is dat niemand het geheel meer overziet. Een burger weet niet waar gegevens uit een basisregistratie gebruikt worden en aan wie ze weer worden doorverstrekt. Ambtenaren hebben daar ook geen zicht op en kunnen niet voorspellen welke effecten een mutatie, die soms ook buiten burgers om in de registratie aangebracht wordt, voor de betrokken burger zal hebben. Hoe de keten werkt is voor iedereen een black box. De handhaving wordt strakker en formeler, iedere actor in de keten moet zich houden aan de eigen rol en regels, er is geen ruimte meer voor de discretionaire bevoegdheden van de professional. De uitkomst is een deadlock, een ´digitale kooi´.

Beginselen als oplossing

Voor ingewijden is dit geen nieuws: de problemen niet en het onvermogen om er iets aan te veranderen ook niet. Datzelfde geldt feitelijk voor de tien beginselen van behoorlijke ICT in het boek ´De digitale kooi´. Een aantal van die beginselen hebben een sterke verwantschap met de beginselen en rechten van personen in de Algemene Verordening Gegevensbescherming (AVG). Dat geldt bijvoorbeeld voor beginsel 2: ‘Wie beheert, informeert’, beginsel 3: ‘Wie beslist, motiveert’, beginsel 4: ‘Wie informatie registreert of afneemt, verplicht zich tot levering aan burgers’ en beginsel 6: ‘Wie digitaal besluiten neemt, organiseert ook ruimte voor afwijkende besluiten’. De AVG vervangt per 25 mei de Wet bescherming persoonsgegevens. De beginselen zijn moeiteloos te vertalen naar eisen om juiste gegevens te gebruiken (art. 5 lid d van de AVG), transparant te zijn over wie de gegevens gebruikt en waarvoor (art 13 en 14), inzage te geven (art 15), gegevens te rectificeren (art 16), daar afnemers van op de hoogte te stellen (art 19) en menselijke tussenkomst bij geautomatiseerde besluitvorming mogelijk te maken (art 22). Allemaal beginselen die ook al in de Wbp voorkwamen overigens. Toch bevat de AVG een aantal nieuwe elementen die gebruikt kunnen worden om de zaak in beweging te krijgen en tot veranderingen te komen.

Beweging door de AVG

Een nieuw element in de AVG is de aantoonplicht. Voldoen aan de eisen van de AVG moet onderdeel zijn van de reguliere bedrijfsvoering en moet ook gedocumenteerd zijn (art 5. AVG). Daarbij wordt de handhaving strenger: er zijn boetes mogelijk tot 20 miljoen euro, ook voor de overheid. Bescherming van persoonsgegevens wordt daardoor onder het regime van de AVG minder vrijblijvend dan onder de Wbp en moet proactief geregeld worden.

De AVG introduceert ook een bruikbaar instrument: een Privacy Impact Assessment (PIA). Een PIA is een instrument om gegevensverwerking in processen met de bijbehorende risico´s in beeld te brengen en maatregelen te nemen. Een PIA is verplicht als er waarschijnlijk sprake is van een hoog risico. Het gebruik van basisregistraties voldoet aan de criteria van de toezichthouders om daarvan te spreken. Een goede PIA stelt in staat om heel precies te zijn bij het analyseren van de problemen en het formuleren van passende maatregelen.

Actie
Onze suggestie is om de verplichting die de AVG met zich brengt en het bruikbare instrument PIA in te zetten om de digitale kooi te gaan slopen en tot verbeteringen te komen. De beginselen, het niet vrijblijvende karakter en het bruikbare instrument PIA maken dat de AVG kan leiden tot innovatie en het oplossen van taaie, ingrijpende problemen voor burgers. Was het maar vast 25 mei!

Dirk Schravendeel is principal adviseur en Irene van Holst is informatieprofessional, beiden bij PBLQ.

tags:

Reactieformulier

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie. U kunt bij de vormgeving van uw reactie gebruik maken van textile en er is beperkt gebruik van html mogelijk.